网络学习(第6篇-DHCP部署与安全)

DHCP部署与安全

1.DHCP作用:自动分配IP地址
2.DHCP相关概念
地址池/作用域:(IP、子网掩码、网关、DNS、租期),DHCP协议端口是UDP 67/68
3.DHCP优点
减少工作量,避免IP冲突、提高地址利用率
4.DHCP原理
也成为DHCP租约过程,分为4个步骤:
1)发送DHCP Discovery(发现) 广播包
客户机广播请求IP地址(包括客户机的MAC地址)
2)响应DHCP Offer(提供)广播包
服务器响应提供的IP地址(但无子网掩码,网关等参数)
3)客户机发送DHCP Request广播包
客户机选择IP(也可认为确认使用哪个IP)
4)发送DHCP ACK广播包
服务器确认了租约,并提供网卡详细参数IP、掩码、网关、DNS、租期等
5.DHCP续约
当过50%后,客户机会再次发送DHCP Request包,进行续约,如服务器无响应,则继续使用并在87.5%再次DHCP Request包,进行续约,如仍无响应,并释放IP地址,及重新发送DHCP Discovery广播包来获取IP地址。当无任何服务器响应时,自己给自己分配一个169.254.x.x/16(不能上网,但可以通信(ping))。
6.DHCP攻击与防御
DHCP攻击:利用DHCP原理,客户机伪装MAC地址与服务器进行请求,服务器在不知情的情况下,将IP租给客户机。客户机不停的伪装并发送MAC地址,服务器一直租IP地址给客户机,直到服务器地址耗光。
防御方法:管理型交换机(交换机端口上做IP-MAC绑定)
1)攻击DHCP服务器:频繁的发送伪装的DHCP请求,指导将DHCP地址池资源耗尽
防御:在管理型交换机的端口上做动态MAC地址绑定。静态绑定:端口只能绑定固定电脑(MAC)。
2)伪装DHCP服务器攻击:hack提供将自己部署为DHCP服务器,为客户机提供非法IP地址。
防御:在管理型交换机上,除合法的DHCP服务器所在接口处,全部设置为禁止发送DHCP offer包。
7.部署DHCP服务器
1)IP地址固定(服务器必须固定IP地址)
2)安装DHCP服务插件
3)新建作用域及作用域选项
4)激活
5)客户及验证
ipconfig /release 释放IP(取消租约)
ipconfig /renew 重新获取IP(手动续约发request包)
开启两台虚机,xp是员工,2003是服务器。
1).桥接到同一个局域网。
xp-设置-虚机设置-网络适配器-自定义-v1
2003-设置-虚机设置-网络适配器-自定义-v1
xp-本地连接-自动配置IP地址和DNS
2003-本地连接-手动配置IP地址:10.1.1.2 255.255.255.0
2).在服务器上部署DHCP
2003-开始-管理-DHCP-没有
我的电脑-有可移动存储的设备-双击CD驱动器-安装可选的windows组件
-windows组件-双击网络服务-勾DHCP-下一步-完成
2003-开始-管理-DHCP-对准服务器-右键新建作用域-名称:ikun-起始:10.1.1.21,结束IP地址:10.1.1.250,子网掩码:255.255.255.0-是-
路由配置网关:10.1.1.254-DNS:114.114.114.114-wins-下一步-激活。
3).关闭虚机里客户端自动配置的DHCP
XP-虚拟网络编辑器-更改设置-VM1-取消本地DHCP服务(关闭地址池)
8.地址保留(针对指定的MAC地址,自动分配IP地址)
2003-开始-管理-DHCP-对准服务器-右键新建保留-MAC地址(客户机)-支持的类型两者
9.备份
2003-开始-管理-DHCP-对准服务器-右键备份-在桌面新建文件夹-保存
10.还原(将作用域删除)
2003-开始-管理-DHCP-对准服务器-右键还原-选中备份文件夹-确定。
10.选项优先级(作用域选项优先级高于服务器选项)
服务器的IP与默认要提供的地址池要一致。
1).2003-开始-管理-DHCP-对准服务器-右键作用域-名称:kris-起始:10.1.1.21,结束IP地址:10.1.1.250,子网掩码:255.255.255.0-否-下一步-激活
2).2003-开始-管理-DHCP-对准服务器-右键作用域-名称:ikun-起始:20.1.1.21,结束IP地址:20.1.1.250,子网掩码:255.255.255.0-否-下一步-激。
3).右键服务器选项-点击DNS服务器-114.114.114.114
4).点到作用域下的作用域选项-右键刷新
5).路由需要单独配置,点到作用域下的作用域选项-右键配置选项-路由器

你可能感兴趣的:(网络,网络)